Sophos gibt Tipps zur Absicherung mobiler Mitarbeiter
Laut dem Bundesministerium für Wirtschaft und Technologie liegt die Zahl der Mitarbeiter, die ihre Tätigkeit außerhalb des Unternehmens erledigen, bei über 8 Millionen. Unternehmen stehen vor der Herkules-Aufgabe, ihren Mitarbeitern möglichst große Mobilität zu gewähren und gleichzeitig unternehmenskritische Daten vor Verlust und Missbrauch zu schützen. Das Management mobiler Endgeräte ist somit längst eine Aufgabe für die IT-Sicherheit. Die Ergebnisse einer Studie vom Analystenhaus IDC und Sophos, einem der führenden Anbieter von Lösungen für IT- und Datensicherheit, unterstreichen dies: Die Sicherheit mobiler Endgeräte wird von 39 Prozent der Unternehmen als dringend empfunden, direkt hinter IT-Sicherheits-Themen „Abwehr neuer Angriffszenarien“ (42 Prozent) und „Cloud Computing“ (42 Prozent).
Ausführliche Ergebnisse der Studie als PDF unter: http://www.sophos.com/de-de/security-news-trends/whitepapers/gated-wp/sophos-idc-executive-brief-mc-it-sicherheit-2011.aspx.
„Der massive Einsatz privater mobiler Endgeräte auch in Unternehmen bedeutet eine enorme Herausforderung für die Sicherung sensibler und vertraulicher Unternehmensdaten“, sagt Sascha Pfeiffer, Principal Security Consultant bei Sophos. „Auch die Mitarbeiter müssen ein Sicherheitsbewusstsein entwickeln und selbst ihren Teil dazu beitragen, dass ihre Geräte vor Zugriffen Fremder, vor Verlust und Diebstahl geschützt sind. Das ist noch ein weiter Weg, denn laut einer Studie des Ponemon Instituts landen allein auf dem Flughafen Frankfurt rund 300 Laptops pro Woche im Fundbüro. Die meisten werden einfach vergessen.“
5 Tipps zur Absicherung mobiler Arbeitnehmer
1. Zugriffe Fremder durch Kennwörter verhindern
Der Basis-Schutz für mobile Geräte beginnt bei sicheren Zugriffspasswörtern. Was selbstverständlich klingt, wird nach wie vor stark vernachlässigt. Anwendungen auf dem Smartphone, sei es der E-Mail-Client oder der VPN-Client, sind oft ohne weitere Passworteingaben zugänglich. Dies spart Zeit und ist bequem. So haben aber auch Fremde Zugriff auf private und Unternehmensdaten. Im Verlustfall könnte bereits großer Schaden entstehen, noch bevor dieser Verlust bemerkt wird. Ist das Gerät jedoch abgesichert, wird wertvolle Zeit gewonnen, um alle Verbindungen zur Unternehmens-IT zu kappen, bevor ein Unbefugter Zugriffsversuche startet.
2. „Schatten-IT“ mit mobilem Gerätemanagement vermeiden
Private Laptops, Smartphones, Tablets und sonstige mobile Endgeräte werden zunehmend für Arbeitszwecke eingesetzt, ohne die IT-Abteilung zu informieren. Die IDC-Analysten beobachten diesen als „Schatten-IT“ bezeichneten Trend seit einiger Zeit. Die zentrale IT-Organisation hat keinen Überblick über die eingesetzten Geräte und den Datenfluss. Um diesen Wildwuchs zu minimieren, müssen IT-Administratoren über ein effektives Gerätemanagement verfügen. Hier lassen sich die Geräte über zentrale Sicherheitseinstellungen sichern, um unerwünschte Features zu sperren und Daten bei Verlust oder Diebstahl zu löschen oder zu sperren. Auch der Zugang zu geschäftlichen E-Mails lässt sich insoweit kontrollieren, dass nur diejenigen Geräte Nachrichten empfangen können, die richtig gesichert und registriert sind. Ein Self-Service-Portal, in dem Mitarbeiter ihre neuen Geräte selbst registrieren oder diese bei Verlust sperren können, erleichtert die Arbeit für die IT-Administratoren.
3. Verschlüsselung und Compliance
Laut einer Studie des Ponemon Instituts betragen die durchschnittlichen Kosten eines gestohlenen Laptops ca. 34.750 Euro. Durch Verschlüsselung können die mit dem Verlust eines Laptops einhergehenden Kosten um mehr als 14.000 Euro reduziert werden. Viele Smartphones verfügen zudem über eine Funktion zur Remote-Zurücksetzung. Diese sollte in jedem Fall aktiviert werden, damit Nutzer Daten auf einem verloren gegangenen Gerät im Zweifelsfall komplett löschen können. Um der Anzeigepflicht im Falle eines verloren gegangenen Gerätes zu entgehen, sollte ein zentrales Reporting-System verfügbar sein, mit dem belegt werden kann, dass das Gerät entweder verschlüsselt oder remote zurückgesetzt wurde.
4. Application Control, Patching und weitere Kontrollen
Um Hackerangriffe und betrügerische Malware-Infektionen abzuwehren, reicht eine Blacklisting-Methode nicht aus, die festlegt, welche Anwendungen auf Mobilgeräte heruntergeladen werden dürfen. Da einfach zu viele Angriffe gezielt Schwachstellen ausnutzen, müssen Betriebssysteme und Anwendungen auf Mobilgeräten wie Browser, PDF-Reader und Flash-Player regelmäßig gepatcht werden, um sie auf dem neuesten Stand zu halten. Eine Anwendungskontrolle kann sicherstellen, dass nur gepatchte, sichere Anwendungen verwendet werden. Auf unternehmenseigenen Smartphones sollten Einstellungen vorgenommen werden, die produktivitätsmindernde oder riskante Anwendungen sperren. Zusätzlich sollten auch die Nutzung der E-Mail-Synchronisation auf benutzereigene Geräte eingeschränkt werden. Auch der Datenfluss vom Gerät ins Unternehmens-Netzwerk muss stets kontrolliert und überwacht werden.
5. Unternehmensweite Strategie für mobile Sicherheit
Die Sicherheitsanforderungen für Mobilgeräte können nur mit einem ganzheitlichen, strategischen Konzept gemeistert werden, das Risiken, Bedrohungen und Schwachstellen in Schach hält, ohne die Produktivität oder den Benutzerkomfort zu beeinträchtigen. Zu den Maßnahmen gehören zweifellos Regeln und Richtlinien, die den Nutzern klare Handlungsspielräume aufzeigen.
Über Sophos
Mehr als 100 Millionen Anwender in 150 Ländern verlassen sich auf Sophos als den besten Schutz gegen komplexe IT-Bedrohungen und Datenverlust. Mit seinen 26 Jahren Erfahrung bietet Sophos IT- und Datensicherheitslösungen, die einfach zu verwalten, zu installieren und einzusetzen sind und liefert dabei den branchenweit niedrigsten Total Cost of Ownership. Das Portfolio von Sophos umfasst neben preisgekrönten Verschlüsselungs- und Endpoint-Security-Produkte auch Lösungen für Web- und E-Mail-Sicherheit sowie Network Access Control (NAC) und Unified-Threat-Management. Das Angebot wird von einem weltweiten Netzwerk eigener Analysezentren, den SophosLabs, unterstützt. Sophos gehört laut den Top-Analystenhäusern zu den führenden Unternehmen für IT-Sicherheit und Datenschutz.
Sophos hat seinen Hauptsitz in Boston, USA, und Oxford, Großbritannien. In Deutschland ist das Unternehmen in Wiesbaden und in Österreich sowie der Schweiz je an einem Standort vertreten. Weitere Informationen unter: www.sophos.de.
Weitere Informationen:
– Sascha Pfeiffers Blog: http://saschapfeiffer.wordpress.com/
– Aktuelle Infos zu IT-Sicherheit auch auf Twitter unter http://twitter.com/sophos_info
und auf Facebook unter www.facebook.com/SophosITSicherheit
– Hot Topics: Leicht verständliche Erklärungen zu den neuesten Entwicklungen und Bedro-hungen unter http://www.sophos.de/security/topic/all.html
Kontakt:
Sophos GmbH
Monika Nordmann
Gustav-Stresemann-Ring 1
65189 Wiesbaden
+49 (0)611-5858-1150
http://www.sophos.de
Monika.Nordmann@sophos.de
Pressekontakt:
Schwartz Public Relations
Sven Kersten-Reichherzer
Sendlinger Straße 42 A
80331 München
sk@schwartzpr.de
+49 89 211 871 36
http://www.schwartzpr.de